Salta gli elementi di navigazione
banner
logo ridotto
logo-salomone
SIAF - Sistema Informatico dell'Ateneo Fiorentino

Protocollo adottato per danni e azioni ostili sulla rete

Evento

una stazione di lavoro dell'Ateneo e' soggetto attivo di danneggiamenti o azioni ostili nei confronti di altre macchine in rete, presumibilmente originati da un virus o da uno worm.

Conseguenza

la stazione di lavoro continua ad eseguire le azioni fino a che non viene disinfestata; le azioni possono essere orientate a macchine dell'Ateneo o esterne.

Rilevazione

  • denuncia o segnalazione ricevuta dall'esterno
  • monitoraggio interno (per es. log di macchine, controlli su firewall)

Provvedimenti adottati

  1. viene segnalato l'abuso al responsabile del SIP (Servizi Informatici di Presidio) di appartenenza;
  2. viene registrata la data della segnalazione;
  3. nel caso di situazione grave o di reiterate segnalazioni e nel caso di macchine non registrate sul Domain Name Server, alla stazione di lavoro viene bloccata la connessione alla Rete di Ateneo o, se cio' non e' possibile tecnicamente, alla rete Internet globale, per bloccare l'attivita';
  4. viene registrata la data del blocco;
  5. viene avvertito del blocco il responsabile del SIP (Servizi Informatici di Presodio) di appartenenza;
  6. il responsabile del SIP di appartenenza avverte del blocco il referente tecnico dell'Unita' Organizzativa, se designato;
  7. se richiesto o previsto, viene comunicata l'azione intrapresa all'ente segnalante o viene aggiornato il sito relativo;
  8. l'indirizzo della macchina viene inserito in una apposita pagina web in cui ciascuno puo' controllare la propria situazione;
  9. si attende l'attuazione della procedura di ripristino; la relativa comunicazione può essere effettuata tramite la compilazione del modulo 'QS03-Incidenti di sicurezza: blocco macchina',  disponibile alla pagina modulistica di SIAF;
  10. appena il responsabile della stazione di lavoro o il responsabile del SIP di appartenenza comunica che la macchina è stata ripulita e sistemata, il blocco viene tolto e viene registrata la data di eliminazione;
  11. se richiesto o previsto, viene comunicato il ripristino della situazione all'ente segnalante;
  12. viene chiuso l'incidente.
N.B. Se l'indirizzo IP corrisponde ad una stazione di lavoro con funzionalita' di server (comunicato ufficialmente dal Responsabile dell'Unita' Organizzativa, tramite l'apposito modulo):
  • non si procede al blocco immediato;
  • viene avvertito anche il Responsabile dell'Unita' Organizzativa, oltre al referente tecnico del server, se designato;
  • l'Unita' Organizzativa deve mettersi in contatto con il responsabile del SIP o con il servizio Cert UNIFI per indicare le azioni intraprese;
  • a ripristino avvenuto il Responsabile dell'Unita' Organizzativa o il referente tecnico del server, se designato, deve darne comunicazione a SIAF  mediante la compilazione del modulo 'QS03-Incidenti sicurezza: blocco macchina', disponibile alla pagina modulistica di SIAF o comunicando direttamente al servizio Cert UNIFI la messa in sicurezza del server;
  • nel caso di mancato contatto con il SIP o con il servizio Cert UNIFI, si procede comunque al blocco, come per le altre stazioni di lavoro.
Elenco macchine bloccate  
ultimo aggiornamento: 08-Ott-2014
Unifi Home Page

Inizio pagina